Qu’est-ce que le nom de domaine entièrement qualifié ( FQDN ) Limite d’objet?

La limite maximale actuelle pour les FQDN objets est de 2000 pour les petites plates-formes VM- et toutes les séries, 2048 pour la PA-3200 série, et 6144 pour toutes les grandes plates-formes.
La FQDN limite IP d’objet est codée à 10 dans les versions Pré 7.0. Il est réglé à 32 en PAN-OS 7,1 et des versions plus élevées.

• PAN-OS en.
• Pare-feu de Palo Alto.
• FQDN configuration de l’objet.

Un exemple de Pre 7.x est montré ci-dessous. fqdntest.pantac.lab a 11 adresses ip attribuées au nom de domaine

Sur firewall PAN-OS l’utilisation de 7,0 ou moins seulement 10 entrées sont considérées comme la limite maximale est atteinte. Cette limite d’entrée est de 32 PAN-OS en 7,1 et plus.

Contournement

Si l’on a besoin de plus de 32 A adresses, le script peut être utilisé qui crée une liste de blocs dynamiques. Ce blocklist peut être utilisé comme FQDN objet.

A script possible sur un linux / mac serait: hôte fqdntest.pantac.lab | grep | awk '{print $4}' >> fqdn_list.txt

Le fqdn_list.txt fichier contient toutes les IP adresses associées à fqdntest.pantac.lab:

Rendez ce fichier disponible sur un serveur HTTP et configurez une liste de blocs dynamiques sur firewall :

Aller à GUI : Objets > listes de blocs dynamiques : (Objets > listes dynamiques externes PAN-OS en 7,1 et plus)

Utilisez cet objet dans les stratégies de sécurité. Pour vérifier quelles IP adresses sont utilisées, utilisez la commande suivante :
 

> request system external-list show name fqdntest.pantac.lab   (7.0 or below)
 or
> request system external-list show type ip name fqdntest.pantac.lab  (7.1 and higher)

vsys1/fqdntest.pantac.lab:

IPs:

1.1.1.1
1.1.1.3
1.1.1.2
1.1.1.11
1.1.1.10
1.1.1.9
1.1.1.8
1.1.1.7
1.1.1.6
1.1.1.5
1.1.1.4